V sodobnem svetu prihaja do vse večjega števila poskusov spletnih prevar. Manjša podjetja so posebej občutljiva za napade, zato so zanje izdali celo vrsto nasvetov – tudi o varovanju osebnih podatkov, kateri so priljubljena tarča spletnih kriminalcev.
Osebni podatki so pogosto tarča izsiljevalskih napadov (foto: pixabay.com)
Zakon o varstvu osebnih podatkov, s 25. 5. 2018 pa tudi Splošna uredba o varstvu podatkov (GDPR), glede obdelave podatkov podjetjem in posameznikom nalagata določene obveznosti.Spcializirana spletna portala opozarjata, da med osebne podatke ne štejemo le ime, priimek, naslov in EMŠO, ampak tudi npr. IP naslov, ID piškotka, RFID-oznake in druge identifikatorje.
“Že pri zasnovi poslovnega procesa razmišljajte o tem, da obdelujte le toliko osebnih podatkov, kot je nujno, da pridobite veljavno soglasje uporabnika in ga podrobno obvestite o tem, kaj se bo s podatki dogajalo, s kom dalje delite zbrane podatke in da imate v tem primeru sklenjene primerne pogodbe s partnerji (tudi z različnimi oblačni ponudniki, ponudniki storitev hrambe ipd.),” pravijo strokovnjaki.
Ker v zasebnem sektorju zbiranje in obdelava osebnih podatkov načeloma temelji na privolitvi posameznika, bi morali biti pozorni na to, da bodo privolitve, ki jih boste zbirali od svojih strank prostovoljne, ločene, razumljive, izrecne, nevdoumne, … Privolitev mora temeljiti na resnični in ne le navidezni izbiri, posameznik mora imeti v vsakem trenutku možnost, da svojo privolitev na enostaven način umakne.
Poleg tega bi morali preverjati obstoječe privolitve in če te niso bile pridobljene skladno z novo GDPR (ker so bila npr. pridobljena na podlagi vnaprej izpolnjenih potrditvenih okenc), bi morali pridobiti nove. Če se za obdelavo osebnih podatkov najemajo zunanji izvajalci, bi se morali prepričati, da izbrano podjetje zagotavlja zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in da bo obdelava podatkov skladna z GDPR. Določene klavzule v pogodbah s t.i. obdelovalcem so obvezne.
Dolžnosti glede vodenja katalogov obdelav podatkov (evidence dejavnosti obdelave) se z GDPR razširjajo še na obdelovalce. GDPR prinaša obveznost uradnega obveščanja o kršitvah varstva osebnih podatkov, in sicer mora upravljavec o kršitvi najpozneje v 72 urah obvestiti Informacijskega pooblaščenca.
V določenih primerih se mora o tem obvestiti tudi stranke, saj lahko slednji zahtevajo seznanitev, omejitev, izbris, popravek, prenos podatkov, ugovor na obdelavo podatkov.